ASDM 6.4: exemplo de configuração de túnel VPN site a site com IKEv2

Opções de download

  • PDF     (245.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (87.2 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (73.0 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:30 de março de 2012
ID do documento:113486

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como configurar um túnel VPN de site a site entre duas Cisco Adaptive Security Appliances (ASAs) que usam Internet Key Exchange (IKE) versão 2. Ele descreve as etapas usadas para configurar o túnel VPN usando um assistente de GUI do Adaptive Security Device Manager (ASDM).

Pré-requisitos

Requisitos

Certifique-se de que o Cisco ASA tenha sido configurado com as configurações básicas.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco ASA 5500 Series Adaptive Security Appliances executando a versão de software 8.4 e posterior

  • Software Cisco ASDM versão 6.4 e posterior

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

O IKEv2 é um aprimoramento do protocolo IKEv1 existente que inclui estes benefícios:

  • Menos trocas de mensagens entre pares IKE

  • Métodos de autenticação unidirecional

  • Suporte integrado para Dead Peer Detection (DPD) e NAT-Traversal

  • Uso do EAP (Extensible Authentication Protocol) para autenticação

  • Elimina o risco de ataques simples de DoS usando cookies antiobstrução

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota:Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

ikev2-s2s-tunnel-01.gif

Este documento mostra a configuração do túnel VPN site a site em HQ-ASA. O mesmo poderia ser seguido como um espelho no BQ-ASA.

Configuração do ASDM em HQ-ASA

Esse túnel VPN poderia ser configurado usando um assistente de GUI fácil de usar.

Conclua estes passos:

  1. Faça login no ASDM e vá para Wizards > VPN Wizards > Site-to-site VPN Wizard.

    ikev2-s2s-tunnel-02.gif

  2. Uma janela de configuração da Conexão VPN site a site é exibida. Clique em Next.

    ikev2-s2s-tunnel-03.gif

  3. Especifique o endereço IP do peer e a interface de acesso VPN. Clique em Next.

    ikev2-s2s-tunnel-04.gif

  4. Selecione ambas as versões de IKE e clique em Avançar.

    ikev2-s2s-tunnel-05.gif

    Observação: as duas versões do IKE são configuradas aqui porque o iniciador pode ter um backup de IKEv2 para IKEv1 quando o IKEv2 falha.

  5. Especifique a Rede Local e a Rede Remota para que o tráfego entre essas redes seja criptografado e passado pelo túnel VPN. Clique em Next.

    ikev2-s2s-tunnel-06.gif

  6. Especifique as Chaves pré-compartilhadas para ambas as versões do IKE.

    ikev2-s2s-tunnel-07.gif

    A principal diferença entre as versões 1 e 2 do IKE reside no método de autenticação que elas permitem. O IKEv1 permite apenas um tipo de autenticação em ambas as extremidades da VPN (ou seja, chave pré-compartilhada ou certificado). No entanto, o IKEv2 permite que métodos de autenticação assimétricos sejam configurados (isto é, autenticação de chave pré-compartilhada para o originador, mas autenticação de certificado para o respondente) usando CLIs de autenticação locais e remotas separadas.

    Além disso, você pode ter chaves pré-compartilhadas diferentes em ambas as extremidades. A chave pré-compartilhada local na extremidade HQ-ASA torna-se a chave pré-compartilhada remota na extremidade BQ-ASA. Da mesma forma, a chave pré-compartilhada remota na extremidade HQ-ASA se torna a chave pré-compartilhada local na extremidade BQ-ASA.

  7. Especifique os algoritmos de criptografia para as versões 1 e 2 do IKE. Aqui, os valores padrão são aceitos:

    ikev2-s2s-tunnel-08.gif

  8. Clique em Gerenciar... para modificar a política IKE.

    ikev2-s2s-tunnel-09.gif

    Note: 

    • A Política IKE em IKEv2 é sinônimo da Política ISAKMP em IKEv1.

    • A proposta de IPsec em IKEv2 é sinônimo do conjunto de transformação em IKEv1.

  9. Esta mensagem aparece quando você tenta modificar a política existente:

    ikev2-s2s-tunnel-10.gif

    Clique em OK para continuar.

  10. Selecione a política IKE especificada e clique em Editar.

    ikev2-s2s-tunnel-11.gif

  11. Você pode modificar os parâmetros como Prioridade, Criptografia, Grupo D-H, Hash de integridade, Hash PRF e valores de Tempo de vida. Clique em OK quando terminar.

    ikev2-s2s-tunnel-12.gif

    O IKEv2 permite que o algoritmo Integrity seja negociado separadamente do algoritmo Pseudo Random Function (PRF). Isso pode ser configurado na política IKE com as opções disponíveis atuais sendo SHA-1 ou MD5.

    Você não pode modificar os parâmetros de proposta IPsec que são definidos por padrão. Clique em Select ao lado do campo IPsec Proposal para adicionar novos parâmetros. A principal diferença entre IKEv1 e IKEv2, em termos de propostas de IPsec, é que IKEv1 aceita o conjunto de transformação em termos de combinações de criptografia e algoritmos de autenticação. O IKEv2 aceita os parâmetros de criptografia e integridade individualmente e, por fim, torna todas as combinações OU possíveis desses parâmetros. Você pode visualizá-los no final deste assistente, no slide Resumo.

  12. Clique em Next.

    ikev2-s2s-tunnel-13.gif

  13. Especifique os detalhes, como isenção de NAT, PFS e desvio de ACL de interface. Escolha Próximo.

    ikev2-s2s-tunnel-14.gif

  14. Um resumo da configuração pode ser visto aqui:

    ikev2-s2s-tunnel-15.gif

    Clique em Finish para concluir o assistente de túnel VPN site a site. Um novo perfil de conexão é criado com os parâmetros configurados.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Troubleshooting

Comandos para Troubleshooting

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota:Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
27-Mar-2012
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos